弁護士 野溝夏生

個人情報取扱事業者の義務(「第三者提供の制限」編(その1))

第三者提供の制限に関する規定である個人情報保護法23条は、内容のボリュームが非常に大きいため、いくつかの記事に分けることとします。
今回の記事は、原則として第三者提供は本人の事前の同意がなければ認められないとする、法23条1項についての解説となります。

個人情報取扱事業者の義務一覧

そもそも「個人情報取扱事業者」とは

「個人情報取扱事業者」(個人情報保護法2条5項)とは、「個人情報データベース等を事業の用に供している者」をいいます。
「事業の用に供している」とは、事業者がその事業のために個人情報を利用していれば足り、利用方法は問いません。
「個人データ」を取り扱っているすべての民間事業主体が「個人情報取扱事業者」に該当すると考えて差し支えないと言い得ます。
取扱件数や営利性の有無に「個人情報取扱事業者」の該非は左右されませんし、従業員の「個人情報データベース等」のみを保有しているにすぎない場合であっても、これを事業の用に供していれば個人情報取扱事業者」に該当します。
また、委託先が委託元から提供された「個人情報データベース等」を利用する場合も、委託先は「個人情報取扱事業者」に該当します。

第三者提供の制限(改正法23条、改正部分強調)

個人情報保護法第23条 個人情報取扱事業者は、次に掲げる場合を除くほか、あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない。
 一 法令に基づく場合
 二 人の生命、身体又は財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。
 三 公衆衛生の向上又は児童の健全な育成の推進のために特に必要がある場合であって、本人の同意を得ることが困難であるとき。
 四 国の機関若しくは地方公共団体又はその委託を受けた者が法令の定める事務を遂行することに対して協力する必要がある場合であって、本人の同意を得ることにより当該事務の遂行に支障を及ぼすおそれがあるとき。
2-6 (略)

「あらかじめ本人の同意を得ないで、個人データを第三者に提供してはならない」(1項柱書)

個人情報取扱事業者は、あらかじめ本人の同意を得るか、又は除外事由に該当する事由のないかぎり、個人データを第三者に提供してはなりません
「第三者」は、自然人であるか法人等の団体であるかを問いませんし、個人情報取扱事業者であるかどうかも問いません。
これは、同意を得ずして第三者に自由に個人データを提供できるとなると、当該個人データが誰に提供され、どのように利用されているのかを本人が把握できないか、又は把握するのが困難な状況に置かれるため、そのような不都合を防止し、もって個人の権利利益の保護を図ろうとする趣旨で設けられた規定です。

個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」pp45-46
 「ブログやその他のSNSに書き込まれた個人データを含む情報については、当該情報を書き込んだ者の明確な意思で不特定多数又は限定された対象に対して公開されている情報であり、その内容を誰が閲覧できるかについて当該情報を書き込んだ者が指定していることから、その公開範囲について、インターネット回線への接続サービスを提供するプロバイダやブログその他のSNSの運営事業者等に裁量の余地はないため、このような場合は、当該事業者が個人データを第三者に提供しているとは解されない。」
 「個人情報取扱事業者若しくはその従業者又はこれらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、又は加工したものを含む。)を自己若しくは第三者の不正な利益を図る目的で提供し、又は盗用したときは、法第83条により刑事罰(1年以下の懲役又は50万円以下の罰金)が科され得る。」

個人情報取扱事業者は、あらかじめ本人の同意を取得するに際して、事業の規模及び性質、個人データの取扱状況(取り扱う個人データの性質及び量を含みます。)等に応じ、本人が同意をするか否かの判断を行うために必要と考えられる合理的かつ適切な範囲の内容を明確に示さなければなりません(前記ガイドラインp45)。
「あらかじめ」とは、提供しようとする個人データが第三者に提供される時点よりも前をいいます(個人情報保護委員会「『個人情報の保護に関する法律についてのガイドライン』及び『個人データの漏えい等の事案が発生した場合等の対応について』に関するQ&A」p29(A5-6))。
個人情報を取得する際に、同時に、第三者提供をすることについて同意を得ることも許容されています(前記Q&A p29(A5-7))。
また、第三者提供する都度本人の同意を得る必要はなく、包括的な同意で足ります(前記Q&A p29(A5-8))。

「本人の同意」については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的には同様です。
個人情報保護委員会「個人情報の保護に関する法律についてのガイドライン(通則編)」p24によると、次のような事例は、本人の同意を得ている事例とされています。

なお、そもそも個人情報を第三者に提供することが想定されている場合には、利用目的において、その旨を特定しなければなりません(法15条1項)。

前記ガイドラインp45によると、第三者提供とされる事例は、次のような事例です(ただし、法23条5項各号の場合は除きます。)。

前記Q&A p29
 「(当社の提携会社や協力会社から、当社の従業者にお中元を贈りたいとの理由で、当該従業者の連絡先を教えてほしいと言われた場合に)提携会社や協力会社に従業者の個人情報を提供することは第三者提供に該当しますので、あらかじめ従業者本人から同意を得ておくなどの措置が必要となります。」(A5-3)

また、前記ガイドラインp45によると、第三者提供とされない事例は、次のような事例です(ただし、利用目的による制限があります。)。

前記Q&A p29
 「ただし、他の部署によって、当初特定した利用目的の達成に必要な範囲を超えて個人情報が利用される場合には、あらかじめ、目的外利用に関する本人の同意を得る必要があります」(A5-2)

1項各号の除外事由については、個人情報取扱事業者の義務(「利用目的による制限」編)で述べた場合と基本的に同様ですので、詳細はそちらをご参照ください。
また、前記Q&A pp30-34に除外事由に関するQ&Aが多数記載されていますので、その一部を引用します。

前記Q&A pp30-34
 「デパートの中で、迷子になった幼少児の名前をアナウンスしても問題はありませんか」(Q5-5)
 「一般的に、幼少児の個人情報を第三者提供するために必要な同意は親権者から得る必要がありますが、迷子になった幼少児の保護者を探して当該幼少児の安全を確保する必要がある場合は、その名前をアナウンスすることができるものと解されます(2号)」(A5-5)

 「(株主名簿閲覧請求があった場合、)会社法において、株主には株主名簿の閲覧請求権が認められているため(会社法第125条第2項)、会社法に基づく適法な閲覧請求に応じることは、法第23条第1項第1号に規定する『法令に基づく場合』に該当します。したがって、全株主の同意がないことは、個人情報保護法上、閲覧請求を拒否する理由にはならないものと解されます。」(A5-15)

まずはお気軽にお問い合わせください。

03-3580-7110

受付: 09:30~18:30 / 土日祝を除く